امنیت سایت وردپرس
امنیت وردپرس مسئله مهمی برای هر صاحب وب سایت است. Google هر روز حدود 10000 وب سایت را برای بدافزار و هر هفته حدود 50،000 وب سایت را برای فیشینگ در لیست سیاه قرار می دهد.
اگر در مورد وب سایت خود جدی هستید ، باید به بهترین اقدامات امنیتی وردپرس توجه کنید.
1. اولین قدم برای امنیت وردپرس ؛ از کلمه ‘admin’ به عنوان نام کاربری استفاده نکنید.1. اولین قدم برای امنیت وردپرس ؛ از کلمه ‘admin’ به عنوان نام کاربری استفاده نکنید.
اجتناب از استفاده از کلمات رایج (مانند admin) برای نام های کاربری شما می تواند حملات بی رحم را بسیار موثرتر کند.
اگر با یک سایت قدیمی کار می کنید که از قبل یک کاربر با نام admin دارد ، ممکن است زمان حذف آن حساب و انتقال هرگونه محتوا یا دسترسی به نام کاربری دیگری امن تر باشد!
2. از یک رمز عبور پیچیده استفاده کنید2. از یک رمز عبور پیچیده استفاده کنید
داشتن رمز عبور بهتر می تواند حدس زدن یا استفاده از ابزارهای مختلف مخصوص اینکار را دشوار کند.
3. تأیید اعتبار دو عاملی را اضافه کنید (2FA)3. تأیید اعتبار دو عاملی را اضافه کنید (2FA)
حتی اگر از admin استفاده نمی کنید و رمز عبور قوی و تصادفی دارید ، حملات brute force هنوز هم می تواند یک مشکل باشد. نگران نباشید ، احراز هویت دو عاملی می تواند به محافظت از سایت شما کمک کند.
برای مدیریت احراز هویت در وردپرس می توانید از افزونه Wordfence استفاده کنید. اگر به دنبال یک افزونه احراز هویت برای تلفن همراه هستید ، افزونه Google Authenticator و Rublon برای شما مفید خواهد بود. اطمینان حاصل کنید که کدهای پشتیبان خود را گم نمی کنید چون ممکن است خود را قفل شده ببینید.
4. کاربران مدیر را به حداقل برسانید4. کاربران مدیر را به حداقل برسانید
فقط در موارد زیر دسترسی لازم رو بدهید
- کاربری که نیاز دارد
- فقط زمانی که نیاز دارد
اگر کسی برای تغییر پیکربندی به دسترسی مدیر موقت نیاز دارد ، به آن اجازه دهید اما پس از اتمام کار آن را بردارید. خبر خوب این است که شما در اینجا لازم نیست کارهای زیادی انجام دهید مگر اینکه از بهترین روش ها استفاده کنید.
لازم نیست هر کاربری که به سایت وردپرس شما دسترسی پیدا می کند ، در نقش مدیر طبقه بندی شود. افراد را به نقش های مناسب اختصاص دهید و خطر امنیتی خود را تا حد زیادی کاهش می دهید.
5. فایل های wp-config.php و .htaccess مخفی کن5. فایل های wp-config.php و .htaccess مخفی کن
پرونده wp-config.php و .htaccess برای امنیت وردپرس شما حیاتی است. اینها معمولاً دارای اطلاعات سیستم شما هستند و اطلاعاتی در مورد ساختار و پیکربندی سایت شما ارائه می دهند. اطمینان از عدم دسترسی مهاجمان به آنها بسیار مهم است.
پنهان کردن این پرونده ها نسبتاً آسان است ، اما اگر اشتباه انجام شود ، سایت شما غیرقابل دسترسی است. پشتیبان تهیه کنید و مراقب باشید.
برای امنیت بهتر وردپرس ، این مورد را به فایل خود اضافه کنید تا از htaccess محافظت کند.
برای عدم دسترسی به فایلwp-config.php:
<Files wp-config.php>
order allow,deny
deny from all
</Files>با این کار از دسترسی به پرونده جلوگیری می شود. کد مشابهی برای خود پرونده .htaccess نیز قابل استفاده است:
<Files .htaccess>
order allow,deny
deny from all
</Files>اساس امنیت وردپرس خرید SSL خوب است.
6. برای احراز هویت از کلیدهای امنیتی وردپرس استفاده کنید6. برای احراز هویت از کلیدهای امنیتی وردپرس استفاده کنید
keys کلیدهای احراز هویت در واقع مجموعه ای از متغیرهای تصادفی مخصوص وب سایت شما هستند که امنیت (رمزگذاری) اطلاعات موجود در کوکی ها را بهبود می بخشد.
یک قسمت خاص در پرونده wp-config.php شما وجود دارد که در آن می توانید متغیرهای خود را تهیه کنید.
7. ویرایش فایل را غیرفعال کنید7. ویرایش فایل را غیرفعال کنید
اگر یک هکر وارد شود ، ساده ترین راه برای تغییر پرونده های شما رفتن به “نمایش -> ویرایشگر” در وردپرس است. برای افزایش امنیت وردپرس خود ، می توانید ویرایش این فایل ها را از طریق ویرایشگر غیرفعال کنید. باز هم می توانید این کار را از داخل پرونده خود با اضافه کردن این خط کد در wp-config.php انجام دهید:
define('DISALLOW_FILE_EDIT', true);شما می توانید الگوهای خود را از طریق برنامه FTP مورد علاقه خود ویرایش کنید. شما نمی توانید این کار را با خود وردپرس انجام دهید.
8.آدرس ورود به سیستم خود را مخفی کرده و تلاش برای ورود به سیستم را محدود کنید8.آدرس ورود به سیستم خود را مخفی کرده و تلاش برای ورود به سیستم را محدود کنید
حملات Brute Force معمولاً فرم ورود شما را هدف قرار می دهد. بنابراین ، تغییر لینک ورود پیش فرض وردپرس ، حمله مهاجمین را دشوارتر می کند. افزونه All in One WP Security & Firewall گزینه تغییر URL پیش فرض (از ‘/ wp-admin /) به مورد امن تر را دارد.
همچنین می توانید تعداد ورود به سیستم را از طریق یک آدرس IP خاص محدود کنید. چندین افزونه وردپرس وجود دارد که می تواند به شما کمک کند از فرم ورود خود در برابر آدرس های IP محافظت کنید که تلاشهای زیادی برای ورود به سیستم را آغاز می کند.
9. با XML-RPC انتخاب شوید9. با XML-RPC انتخاب شوید
XML-RPC یک رابط برنامه نویسی برنامه (API) است که مدتی است در برخی از افزونه ها و پوسته ها از آنها استفاده می شود ، بنابراین ما با توجه به نحوه استفاده از این نکته سخت افزاری سفارشی ، با کمبود فنی احتیاط می کنیم.
در حالی که کاربردی است ، خاموش کردن آن ممکن است هزینه داشته باشد. به همین دلیل است که توصیه نمی کنیم آن را برای همه موارد غیرفعال کنید ، اما در مورد چگونگی و مواردی که به شما اجازه دسترسی به آن را می دهد انتخاب بیشتری داشته باشید. در وردپرس ، اگر از Jetpack استفاده می کنید ، باید در اینجا بیشتر مراقب باشید.
مطلب پیشنهادی:افزونه های وردپرسی چیست؟
تعدادی افزونه وجود دارد که به شما کمک می کند تا در نحوه پیاده سازی و غیرفعال کردن XML-RPC بسیار پیشگام باشید.
10. میزبانی و امنیت وردپرس10. میزبانی و امنیت وردپرس
حتی اگر در مورد امنیت وب سایت خود دقیق باشید ، اگر توسط شرکتی میزبانی شود که چندان سختگیرانه نباشد ، ممکن است همچنان سایت شما در خطر باشد.
اگر مهاجمی بتواند به خدمات میزبانی وب سایت شما دسترسی پیدا کند ، می تواند کنترل همه چیز را به طور کامل کنترل کند. این مهم در صورت انتخاب (یا جابجایی) میزبانی که میزبانی را جدی می گیرد بسیار مهم است. گزینه های میزبان ارزان تر معمولاً از امنیت و پشتیبان گیری خوبی برخوردار نیستند ، یا ممکن است پشتیبانی برای پاکسازی یک سایت هک شده ارائه ندهند.
شما باید از وب سایت وردپرس خود در برابر مهاجمان محافظت کنید ، برای این کار به بهترین سرویس میزبانی وب احتیاج دارید.
هاست های اشتراکی اغلب خطرناک است زیرا مهاجمان می توانند از طریق سایت دیگری که در معرض خطر است در همان سیستم به سایت شما دسترسی پیدا کنند. به همین دلیل من به کاربران جدی توصیه می کنم که همیشه کمی بیشتر برای میزبانی هزینه کنند و از شرکتی با شهرت عالی برای هاست اختصاصی وردپرس استفاده کنند.
11. به روز باشید11. به روز باشید
به روز بودن کار ساده ای است ، اما ما می فهمیم که این کار برای صاحبان وب سایت به صورت روزانه چقدر دشوار است. وب سایت های ما دارایی های ما هستند. در هر زمان بسیاری از اتفاقات مختلف رخ می دهد. و گاهی اجرای سریع تغییرات دشوار است. به همین دلیل کمبود کد منسوخ شده در وب سایت ها غیرمعمول نیست. هم در افزونه ها و هم در نرم افزار هسته. متأسفانه ، این باعث می شود آنها بخصوص در معرض سوء استفاده قرار بگیرند
ضروری است که به روزرسانی پوسته ها، نرم افزار ، پلاگین ها و سایر معلفه ها بخشی از یک برنامه معمول باشد. در غیر این صورت ، در را به روی مهاجمان باز می گذارید.
12. لایه های بیشتری از امنیت را قرار دهید12. لایه های بیشتری از امنیت را قرار دهید
بهترین راه حل های امنیتی از دسترسی مهاجمان به هرجای دیگر وب سایت شما جلوگیری می کند. به همین دلیل توصیه می کنیم که اکثر سایت ها نوعی افزونه فایروال وردپرس را اجرا کنند. این پلاگین ها مهاجمان شناخته شده و الگوهای معمول حمله را جستجو می کنند و آنها را متوقف می کنند قبل از اینکه فرصتی برای به خطر انداختن سایت شما داشته باشند.
Wordfence یک افزونه فایروال خوب است ، می تواند تمام نیازهای شما را برآورده کند. اکیداً توصیه می کنم افزونه را بارگیری و نصب کنید.
همچنین لازم به ذکر است که بسیاری از سیستم های تحویل محتوا در حال حاضر دارای قابلیت دیوار آتش هستند. ترکیبی از بهینه سازی عملکرد با محافظت. به ویژه Cloudflare در جلوگیری از “ترافیک بد” کار بزرگی انجام می دهد و حتی قوانین و اسکن هایی وجود دارد که به طور خاص برای محافظت از سایت های وردپرس تهیه شده است.
13. از مناسبترین پلاگین ها و قالب ها استفاده کنید13. از مناسبترین پلاگین ها و قالب ها استفاده کنید
بیشتر کاربران وردپرس تمایل دارند تم ها و افزونه ها را هر زمان که بخواهند در سایت خود اعمال کنند. ما به شما توصیه می کنیم که به آزمایش پوسته ها یا افزونه های مختلف توجه کنید ، مخصوصاً اگر از سرور آزمایشی استفاده نمی کنید. بیشتر افزونه ها و بسیاری از پوسته ها رایگان هستند و ممکن است امنیت در بالاترین اولویت در هنگام توسعه نباشد ، مگر اینکه توسعه دهنده مدل تجاری مناسبی برای همراهی با این هدایای رایگان داشته باشد. به عبارت دیگر ، اگر یک توسعه دهنده فقط به دلیل سرگرم کننده بودن یک پلاگین از آن محافظت می کند ، برای انجام بررسی های امنیتی مناسب زمان نمیگذارد.
نحوه انتخاب پلاگین مناسب
همانطور که در بالا توضیح داده شد ، پلاگین ها و تم های رایگان می توانند یک آسیب پذیری بالقوه باشند. هنگام افزودن یک افزونه (یا تم برای این موضوع) ، همیشه امتیاز آن را در WordPress.org بررسی کنید. به یاد داشته باشید که یک رتبه بندی 5 ستاره چیزی به شما نمی گوید ، بنابراین همیشه تعداد امتیازات را بررسی کنید. بسته به یک افزونه باید بتواند چندین بررسی را دریافت کند. اگر افراد بیشتری فکر می کنند که یک افزونه عالی است و برای ارزیابی آن وقت می گذارید ، ممکن است با استفاده از آن نیز احساس امنیت کنید.
سازگاری پلاگین
یک مورد دیگری وجود دارد که حتما بررسی کنید. وردپرس به شما می گوید که آیا افزونه ای در طی دو سال به روز نشده است. اکنون ، این لزوماً به معنای پلاگین بد نیست. همچنین می تواند به این معنی باشد که افزونه نیازی به به روزرسانی ندارد زیرا هنوز در حال کار است. رتبه بندی به شما کمک می کند تا در این مورد تصمیم بگیرید. و نگاهی به سازگاری با نسخه فعلی وردپرس بیندازید ، که در صفحه پلاگین wordpress.org نیز نشان داده شده است.
بسته به رتبه بندی و سازگاری ، می توانید افزونه های خود را با دقت انتخاب کنید و همچنین مراقب امنیت وردپرس خود باشید.
دیدگاه ها (0)